Top.Mail.Ru
Заказать обратный звонок
Центральный офис продаж:
г. Москва, ул. Правды, д. 26
БЦ «Северное Сияние»

ПОЛОЖЕНИЕ 

О порядке  обработки и защиты персональных данных клиентов, контрагентов и иных лиц.

ПРЕДИСЛОВИЕ

 

1. «Положение о порядке обработки и защиты персональных данных клиентов, контрагентов и иных лиц» разработано совместно Юридическим департаметом, Департаментом информационных технологий и Департаментом Коропративной защиты Общества.

 

2. Утверждена и введена в действие приказом Генерального директора от 30.12.2025 № П88.

 

3. Срок действия – не ограничен.

 

4. Срок пересмотра – по мере необходимости.

 

5. Контрольный экземпляр Положения хранится в Аппарате генерального директора.

 

1. Общие положения

 

1.1. «Положение ООО «РГ- Девелопмент» в отношении обработки персональных данных» (далее – Положение) является внутренним документом Общества и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов персональных данных, их права и требования, реализуемые в ООО «РГ- Девелопмент» (далее – Общество или Оператор) для обеспечения безопасности персональных данных, а также реализуемые на предприятии требования к защите персональных данных. Положение разработано с учетом требований:

 

 - Конституции Российской Федерации;

 

 - Трудового кодекса Российской Федерации;

 

 - Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных);

 

 - Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

 

 - Указа Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

 

 - Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

 

 - Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

 

 - Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

 

 - Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

 

 - иных законов и подзаконных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти в области персональных данных.

 

1.2. Положение служит основой для разработки внутренних документов Общества, регламентирующих вопросы обработки персональных данных.

 

1.3. Настоящая Политика не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

 

1.4. Политика определяет и описывает:

 

 • принципы обработки ПД, которыми руководствуется Общество при осуществлении деятельности;

 

 • правовые основания обработки ПД;

 

 • категории Субъектов;

 

 • категории ПД;

 

 • цели обработки ПД;

 

 • сведения, относящиеся к обрабатываемым ПД;

 

 • документы, содержащие обрабатываемые ПД;

 

 • способы обработки ПД;

 

 • операции над ПД;

 

 • сроки обработки и хранения ПД;

 

 • порядок уничтожения ПД;

 

 • основных участников системы управления процессом обработки и защиты ПД;

 

 • основы организации процесса управления обработкой ПД;

 

 • основы порядка рассмотрения обращений Субъектов по вопросам обработки ПД;

 

 • применяемые меры для обеспечения конфиденциальности и безопасности ПД;

 

 • права и обязанности Общества и Субъектов ПД.

 

1.5. При обработке персональных данных Общество принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

 

1.6. Любые изменения и дополнения в Положение вносятся в порядке, установленном в Обществе, утверждаются и вводятся в действие приказом Генерального директора Общества или уполномоченного им лица.

 

2. Термины, определения и сокращения

 

2.1. В настоящем Положении используются следующие термины и определения:

 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

 

Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

 

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека (в том числе изображение человека – фотография и видеозапись), на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных.

 

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 

Доступ к персональным данным – возможность получения и использования персональных данных. Законодательство РФ – совокупность положений нормативных правовых актов РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных.

 

Информация – сведения (сообщения, данные) независимо от формы их представления.

 

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

 

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных субъектов и обеспечивающих их обработку информационных технологий и технических средств.

 

Корпоративный электронный адрес - персональный адрес электронной почты, присваиваемый Работнику, который индивидуализирует Работника и является уникальным в рамках Общества.

 

Контрагент (третье лицо) – 1) юридическое лицо; 2) физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица (индивидуальный предприниматель); 3) физическое лицо, занимающееся частной практикой в порядке, установленном законодательством РФ; 4) физическое лицо, применяющее специальный налоговый режим (самозанятый), заключившее договор с Обществом.

 

Клиент – юридическое или физическое лицо, заключившее с Обществом, его дочерними и/или зависимыми обществами договора, направленные на приобретение недвижимого имущества для личных целей, не связанных с осуществлением предпринимательской деятельности.

 

Конфиденциальность персональных данных – обязательное для соблюдения Общества требование не допускать их передачи в отсутствие согласия Субъекта персональных данных или наличия иного законного основания.

 

Материальный носитель персональных данных – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей персональные данные, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

 

Надзорный орган – орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

 

Неавтоматизированная обработка персональных данных – обработка персональных данных, связанная с уточнением, распространением, уничтожением данных в отношении каждого из субъектов персональных данных, осуществляемая при непосредственном участии человека.

 

Обезличенные данные – это данные, хранимые на любом материальном носителе, в том числе в информационных системах, в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.

 

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.

 

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 

Оператор /Общество – Общество с ограниченной ответственностью «РГ – Девелопмент».

 

Персональные данные/ ПД – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

 

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.

 

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

 

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

 

Субъект персональных данных/Субъект ПД – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

 

Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

 

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

Угроза (опасность утраты персональных данных) - единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

 

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

2.2. В Положении используются следующие сокращения:

 

 

РФ – Российская Федерация.

 

 

ПД – Персональные данные.

 

 

ФСТЭК – Федеральная служба по техническому и экспортному контролю.

 

 

3. Перечень персональных данных и субъектов персональных данных

 

 

3.1. Перечень ПД, обрабатываемых в Обществе, определяется в соответствии с законодательством РФ и внутренними документами Общества с учетом целей Обработки ПД, указанных в разделе 6 Положения.

 

 

3.2. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

 

3.3. В Обществе осуществляется обработка ПД следующих категорий Субъектов ПД:

 

 - работники Общества;

 

 - клиенты (физические лица), ПД которых обрабатываются для целей осуществления Оператором коммерческой деятельности, в т.ч. которые выразили заинтересованность в приобретении и/или приобрели объекты недвижимости у компаний-застройщиков, с которыми у Общества заключены договоры;

 

 - учредители, руководители и/или работники контрагентов (юридических лиц) и их представители;

 

 - иные Субъекты ПД (для обеспечения реализации целей обработки, указанных в разделе 5 Положения).

 

4. Права и обязанности субъектов и оператора персональных данных

 

4.1. Права и обязанности Субъекта ПД

 

4.1.2. Субъект ПД имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

 

 - подтверждение факта обработки персональных данных Оператором;

 

 - правовые основания и цели обработки персональных данных;

 

 - цели и применяемые Оператором способы обработки персональных данных;

 

 - наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

 

 - обрабатываемые персональные данные, относящиеся к соответствующему Субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

 

 - сроки обработки персональных данных, в том числе сроки их хранения;

 

 - порядок осуществления Субъектом ПД прав, предусмотренных Законом о персональных данных;

 

 - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

 

 - информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Закона о персональных данных;

 

 - иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами. Указанные сведения должны быть предоставлены Субъекту ПД Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

 

4.1.3. Субъект ПД вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 

4.1.4. Право Субъекта ПД на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в случаях, указанных в ч. 8 ст. 14 Закона о персональных данных.

 

4.1.5. Если Субъект ПД считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

4.1.6. Субъект ПД также обладает иными правами, предусмотренными Законом о персональных данных и иными нормативно-правовыми актами.

 

4.1.7. Субъекты ПД обязаны исполнять обязанности, предусмотренные Законом о персональных данных и иными нормативно-правовыми актами.

 

4.2. Права Оператора

 

4.2.1. Оператор вправе:

 

 - самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено этим законом или другими федеральными законами;

 

 - в порядке, установленном ч. 3 ст. 6 Закона о персональных данных, поручить обработку персональных данных другому лицу с согласия Субъекта ПД, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие Субъекта ПД на такую обработку;

 

 - в случае отзыва Субъектом ПД согласия на обработку персональных данных продолжить такую обработку без согласия Субъекта ПД при наличии оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных.

 

4.2.2. Оператор обладает иными правами, предусмотренными Законом о персональных данных и иными нормативно-правовыми актами.

 

4.3. Обязанности Оператора

 

4.3.1. При сборе персональных данных Оператор обязан:

 

 - предоставить Субъекту ПД по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;

 

 - разъяснить Субъекту ПД юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на их обработку являются обязательными;

 

 - до начала обработки персональных данных, полученных не от Субъекта ПД, предоставить последнему следующую информацию: наименование либо фамилия, имя, отчество и адрес Оператора или его представителя; цель обработки персональных данных и ее правовое основание; перечень персональных данных; предполагаемые пользователи персональных данных; установленные Законом о персональных данных права Субъекта ПД; источник получения персональных данных. Оператор освобождается от обязанности предоставить Субъекту ПД указанные сведения в случаях, предусмотренных ч. 4 ст. 18 Закона о персональных данных;

 

 - обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.

 

4.3.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Политикой, Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

 

4.3.3. Оператор обязан ознакомить своих работников, непосредственно осуществляющих обработку персональных данных, с Политикой и локальными актами по вопросам обработки персональных данных.

 

4.3.4. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

 

4.3.5. Оператор обязан также исполнять иные обязанности, предусмотренные Законом о персональных данных и иными нормативно-правовыми актами.

 

5. Принципы обработки персональных данных

 

5.1. Обработка ПД Оператором осуществляется на основе следующих принципов:

 

- законная и справедливая основа,

 

 - обработка ограничивается достижением конкретных, заранее определённых и законных целей,

 

 - не допускается обработка персональных данных, несовместимая с целями сбора персональных данных,

 

 - не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой,

 

 - обработке подлежат только ПД, которые отвечают целям их обработки,

 

 - содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки,

 

 - обрабатываемые ПД не должны быть избыточны по отношению к заявленным целям их обработки,

 

 - при обработке обеспечивается точность ПД, их достаточность, актуальность по отношению к целям обработки,

 

 - хранение ПД осуществляется не дольше, чем этого требуют цели обработки (если срок хранения не установлен федеральным законом, договором),

 

 - обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки, или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

6. Цели и условия обработки персональных данных

 

6.1. Обработка персональных данных допускается в следующих случаях:

 

 • Обработка персональных данных осуществляется с согласия Субъектов ПД на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

 

 • Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

 

 • Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПД, а также для заключения договора по инициативе Субъекта ПД или договора, по которому Субъект ПД будет являться выгодоприобретателем или поручителем. Заключаемый с Субъектом ПД договор не может содержать положения, ограничивающие права и свободы Субъекта ПД, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие Субъекта ПД.

 

 • Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

 

 • Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, судопроизводстве в арбитражных судах. административном, уголовном судопроизводстве,

 

 • Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПД, если получение согласия Субъекта ПД невозможно.

 

 • Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПД,

 

 • иные законные цели.

 

6.2. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия, предоставленного в письменной форме Субъектом ПД.

 

6.3. Специальные категории персональных данных и биометрические персональные данные обрабатываются с письменного согласия Субъекта ПД, за исключением случаев, предусмотренных Законом о персональных данных.

 

6.4. Обработка ПД Оператором осуществляется с соблюдением следующих условий:

 

 - обработка ПД осуществляется с согласия Субъектов ПД в случаях, требующих наличия такого согласия;

 

 - передача ПД третьим лицам осуществляется только с согласия Субъекта ПД, оформленного в соответствии с требованиями Закона о ПД;

 

 - согласие должно быть конкретным, предметным, информированным, сознательным и однозначным;

 

 - равнозначным собственноручно подписанному согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с действующим законодательством РФ;

 

 - без согласия обработка ПД возможна в случаях, прямо предусмотренных действующим законодательством;

 

 - уничтожения ПД на бумажных и электронных носителях, в информационных системах ПД по письменному запросу Субъекта ПД в установленный законодательством срок.

 

6.5. Обработка ПД работников осуществляется в соответствии с отдельным Положением «О защите персональных данных работников ООО «РГ-Девелопмент».

 

6.6. В случае если Оператор на основании договора поручает Обработку ПД другому юридическому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПД при их обработке, а также требований к защите ПД, определенных законодательством РФ и организационно-распорядительными документами Общества.

 

6.7. Доступ к обрабатываемым ПД разрешен только работникам Общества, которые допущены к работе с ПД. Список должностей работников, допущенных к обработке ПД и объемы допуска устанавливаются отдельным приказом Общества.

 

6.8. Уничтожение ПД осуществляется комиссией по уничтожению персональных данных, создаваемых в структурных подразделениях Общества.

 

6.9. в сроки: Комиссия по уничтожению персональных данных уничтожает персональные данные

 

 • 30 дней с даты достижения целей обработки персональных данных;

 

 • 30 дней с даты поступления отзыва Субъектом ПД согласия на обработку его персональных данных;

 

 • 7 рабочих дней со дня представления Субъектом ПД или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

 

 • 10 рабочих дней даты получения оператором требования, прекратить их обработку или обеспечить прекращение такой обработки.

 

6.10. В случае если обработка ПД осуществляется оператором без использования средств автоматизации, Комиссия по уничтожению персональных данных в день уничтожения ПД составляет акт об уничтожении персональных данных. В случае если обработка ПД осуществляется оператором с использованием средств автоматизации, Комиссия по уничтожению персональных данных в день уничтожения ПД составляет акт об уничтожении персональных данных, соответствующий требованиями законодательства.

 

6.11. Формы акта об уничтожении персональных данных утверждаются приказом Общества.

 

6.12. После составления акта об уничтожении персональных данных хранятся в течение трех лет с момента уничтожения персональных данных.

 

6.13. В случае выявления неточных ПД или их неправомерной обработкой внутренними пользователями при обращении/по запросу Субъекта ПД лицо, ответственное за организацию обработки персональных данных, обязан дать распоряжение о блокировании персональных данных работника на период проверки, если блокирование не нарушает права и законные интересы Субъекта ПД.

 

7. Согласие субъекта персональных данных на обработку его персональных данных

 

7.1. Субъект ПД принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным сознательным и однозначным.

 

7.2. Согласие на обработку персональных данных может быть дано Субъектом ПД или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

 

7.3. Согласие на обработку персональных данных, разрешенных Субъектом ПД для распространения неограниченному кругу лиц в информационных ресурсах, оформляется отдельно от иных согласий Субъекта ПД на обработку его персональных данных.

 

7.4. Согласие на обработку ПД может быть отозвано Субъектом ПД. Отзыв согласия направляется в простой письменной форме.

 

7.5. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение согласия на обработку ПД являются обязательными, работник Общества обязан разъяснить Субъекту ПД юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их.

 

8. Перечень действий с персональными данными

 

8.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПД.

 

8.2. Обработка ПД Оператором осуществляется следующими способами:

 

 - неавтоматизированная обработка ПД;

 

 - автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

 

 - смешанная обработка ПД.

 

8.3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

8.4. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования Российской Федерации, другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

 

9. Обработка, передача, хранение и уничтожение персональных данных

 

9.1. При обработке ПД Оператор:

 

 - принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства РФ в области обработки ПД;

 

 - принимает правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД;

 

 - издает внутренние документы, определяющие вопросы обработки и защиты ПД в Обществе;

 

 - осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ и внутренних документов Общества в области ПД, в том числе требованиями к защите ПД;

 

 - совершает иные действия, предусмотренные законодательством РФ.

 

9.2.При передаче ПД Оператор:

 

 - сообщает ПД третьим лицам только при наличии согласия Субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта ПД;

 

 - осуществляет передачу ПД в соответствии с настоящим документом;

 

 - разрешает доступ к ПД только специально уполномоченным лицам, при этом такие лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретной функции;

 

9.3. При хранении ПД:

 

 - хранение ПД работников осуществляется Отделом кадров Оператора;

 

 - хранение ПД третьих лиц (клиентов, контрагентов и п т.п.) осуществляет подразделение, которое их получает на условиях действующего законодательства РФ;

 

 - доступ к ПД имеют: Генеральный директор Общества, сотрудники отдела кадров, сотрудники бухгалтерии, Департамента корпоративной защиты, а также руководители и сотрудники структурных подразделений по направлению деятельности и в объеме, необходимом для выполнения задач структурного подразделения. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

 

 - атак на информационные системы персональных данных и по реагированию определяет угрозы безопасности персональных данных при их обработке;

 

 - принимает меры по обнаружению фактов несанкционированного доступа к персональным данным, в том числе по предупреждению и ликвидации последствий компьютерных инцидентов в них;

 

 - принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

 

 - публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

 

 - осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требованиями к защите ПД;

 

 - назначает лиц, ответственных за организацию обработки и обеспечение безопасности ПД, в том числе в структурных подразделениях и информационных системах Общества;

 

 - создает необходимые условия для работы с ПД;

 

 - организует учет документов, содержащих ПД;

 

- организует работу с информационными системами, в которых обрабатываются ПД; сообщает в установленном порядке Субъектам ПД или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и/или поступлении запросов указанных Субъектов ПД или их представителей, если иное не установлено законодательством Российской Федерации;

 

 - организует обучение работников Общества, осуществляющих обработку ПД;

 

- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

 

 - осуществляет хранение персональных данных в форме, позволяющей определить Субъекта ПД не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПД;

 

 - прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.

 

9.3. Доступ к обрабатываемым Оператором персональным данным разрешен только работникам Общества, допущенным к работе с ПД на основании соответствующего приказа.

 

9.4.При уничтожении ПД:

 

 - Оператор обязан уничтожить ПД субъекта (или обеспечить их уничтожение):

 

 - при достижении цели обработки ПД;

 

 - при представлении Субъектом ПД (или его представителем) сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

 

 - при выявлении неправомерной обработки ПД, если невозможно обеспечить ее правомерность;

 

 - при отзыве субъектом ПД согласия на обработку его ПД, если их сохранение более не требуется для целей обработки ПД;

 

 - при обращении субъекта ПД с требованием о прекращении обработки ПД. В случае отсутствия возможности уничтожения ПД в течение срока, указанного в ч. 3 - 5.1 ст. 21 Закона N 152-ФЗ, оператор осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. Уничтожение ПД осуществляется комиссией (либо иным должностным лицом), созданной (уполномоченным) на основании приказа Оператора. Способами уничтожения ПД, определяемыми и утверждаемыми оператором, могут быть:

 

 - для бумажных носителей ПД

 

 - разрезание, гидрообработка, сжигание, механическое уничтожение.

 

 - для электронных носителей

 

 - стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска и т.п. В зависимости от метода обработки ПД способами подтверждения факта уничтожения ПД могут быть:

 

 - акт об уничтожении ПД;

 

 - акт об уничтожении ПД и выгрузка из журнала регистрации событий в информационной системе ПД;

 

- Акт об уничтожении ПД и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПД.

 

10. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных

 

10.1. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности ПД и выполнения обязанностей оператора при Обработке ПД, установленные во внутренних документах Общества и включающие в себя, в том числе:

 

 - назначение лица, ответственного за организацию обработки персональных данных на предприятии;

 

 - разработку и принятие внутренних документов в области обработки и защиты ПД;

 

 - организацию обучения и проведение методической работы с работниками, допущенными к обработке ПД;

 

 - получение согласий Субъектов ПД на обработку их ПД, за исключением случаев, предусмотренных законодательством РФ;

 

 - обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

 

 - обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

 

 - установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям, включая сеть Интернет, вне пределов локально вычислительной сети Общества;

 

 - реализацию в полном объеме технических мер, утвержденных приказом ФСТЭК России от 18.02.2013 N2 21;

 

 - хранение материальных бумажных и информационных носителей ПД с соблюдением условий, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним;

 

 - осуществление внутреннего контроля соответствия Обработки ПД Закону о персональных данных и принятым в соответствии с ним подзаконным нормативным правовым актам, требованиям к защите ПД, настоящей Положении, внутренним документам Общества;

 

 - получение согласий Субъектов ПД на распространение их персональных данных неограниченному кругу лиц, за исключением случаев, предусмотренных законодательством Российской Федерации;

 

 - ознакомление субъектов с требованиями законодательства РФ и нормативных документов Общества по обработке и защите персональных данных;

 

 - учет машинных носителей персональных данных;

 

 - определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПД, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;

 

 - для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;

 

 - проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию;

 

 - обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;

 

 - доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется после прохождения работником аутентификации;

 

 - В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

 

 - работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных;

 

 - определяется и при необходимости актуализируется перечень лиц (Работников Общества), которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПД, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем Работникам Общества, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;

 

 - обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;

 

 - внедряются подсистемы аудита ИСПД, которые осуществляют регистрацию и учет действий, совершаемых с персональными данными;

 

 - обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПД Общества внутри защищенного периметра, расположенного в пределах контролируемой зоны;

 

 - реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПД и по реагированию на компьютерные инциденты в них;

 

 - обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 

 - осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;

 

 - осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;

 

 - проводится инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;

 

 - реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПД;

 

 - осуществляется оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Федерального Закона «О персональных данных».

 

 - иные меры, предусмотренные законодательством РФ в области ПД.

 

10.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор о выявлении такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет в течение двадцати четырех часов уполномоченный орган по защите прав субъектов персональных данных о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.

 

10.3. В течение семидесяти двух часов, по результатам внутреннего расследования выявленного инцидента оператор предоставляет сведения о лицах, действия которых стали причиной инцидента (при наличии).

 

10.4. При сборе персональных данных оператор обязан в течение 10 рабочих дней предоставлять субъекту персональных данных (по его просьбе) информацию, предусмотренную Федеральным законом «О персональных данных». Сведения предоставляются в той форме, в которой получен запрос.

 

11. Рассмотрение запросов субъектов персональных данных или их представителей

 

11.1. Субъекты ПД, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

 

 • подтверждение факта обработки персональных данных Обществом;

 

 • правовые основания и цели обработки персональных данных;

 

 • цели и применяемые Обществом способы обработки персональных данных;

 

 • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

 

 • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

 

 • сроки обработки персональных данных, в том числе сроки их хранения;

 

 • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

 • информацию об осуществленной или о предполагаемой трансграничной передаче данных;

 

 • информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона "О персональных данных";

 

 • иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

 

11.2. Субъекты ПД вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 

11.3. Сведения по запросу Субъекта ПД, должны быть предоставлены ему в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

 

11.4. Сведения по запросу Субъекта ПД, предоставляются ему или его представителю уполномоченным должностным лицом Общества, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения. Запрос должен содержать:

 

1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

 

 

2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;

 

 

3) подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Формы запросов утверждаются отдельным Приказом Общества.

 

 

11.5. Общество вправе отказать субъекту персональных данных в выполнении запроса, не соответствующего условиям, настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении запроса лежит на Обществе.

 

 

11.6. Право Субъекта ПД на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

 

 

12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных

 

 

12.1. Контроль за соблюдением законодательства Российской Федерации и локальными нормативными актами в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных на предприятии законодательству Российской Федерации и локальным нормативным актам в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

 

 

12.2. Внутренний контроль за соблюдением Обществом законодательства Российской Федерации и локальных нормативных актов предприятия в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных на предприятии.

 

 

12.3. Внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, настоящей Политике, локальным нормативным актам осуществляют: Кадровая служба, Департамент информационных технологий, Департамент Корпоративной защиты.

 

 

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

 

 

13.1. Ответственность за соблюдение требований законодательства РФ и внутренних документов Общества в части обработки и защиты ПД в самом Обществе возлагается на его работников в соответствии с утвержденными в Обществе внутренними документами.

 

 

13.2 Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, привлекаются к дисциплинарной и материальной ответственности. Также они могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

 

 

14. Заключительные положения

 

 

Положение подлежит изменению, дополнению в случае изменений в законодательстве Российской Федерации в области обработки и защиты ПД, изменений в структуре Общества, способных оказать значительное влияние на Положение. Контроль исполнения требований Положения осуществляется в соответствии с требованиями законодательства РФ.

 

 

Все права на публикуемые на сайте материалы принадлежат ООО «РГ-Девелопмент» © РГ-Девелопмент. Оставаясь на сайте, Пользователь сайта подтверждает, что уведомлен, что любые материалы, размещенные на сайте, являются объектами интеллектуальной собственности ООО «РГ-Девелопмент» (правообладателя). Пользователь не вправе без предварительного письменного разрешения правообладателя осуществлять какие-либо действия с объектами интеллектуальной собственности, в противном случае правообладатель оставляет за собой право на взыскание штрафов, предусмотренных законодательством РФ, а также на обращение в компетентные органы за защитой своих прав и законных интересов. Любая информация, представленная на данном сайте о проектах, носит исключительно информационный характер и ни при каких условиях не является публичной офертой, определяемой положениями статьи 437 ГК РФ.
Положение о порядке обработки и защиты персональных данных клиентов, контрагентов и иных лиц
Согласие на обработку персональных данных и Согласие на передачу персональных данных 3-м лицам
Адрес для направления корреспонденции: 119415, г. Москва, проспект Вернадского, дом 41, стр.1.
ИНН/ОГРН: 7729760588/5137746227670
лучшие
цифровые
продукты
для недвижимости
Заказать обратный звонок
Бесплатное такси в офис